Только для меня одного или для всего мира слово аудит заставляет задуматься о не очень приятной встречей с государственной налоговой службой? Боюсь что не только для меня одного! В этой статье я расскажу вам о том, что такое аудит компьютерной безопасности вашей сети.
Аудит вашей сети
Хорошо! Кто из вас когда-нибудь подвергался аудиторской проверке со стороны налоговой службы? Это была не очень приятная встреча, я уверен в этом. Забавно, как работает мысль. Лично для меня, когда я слышу слово аудит, я сразу начинаю думать о налоговой проверке, а не аудите компьютерной безопасности. Действительно странно, т.к. я работаю подрядчиком в сфере компьютерной безопасности. Однако, вернемся назад к делу. Эта статья об аудите – продолжение моей предыдущей статьи, посвященной совместимости. Напротив, вслед за этой статьей появится другая статья, посвященная объединению журнализации и мониторингу событий (event log/monitoring consolidation). Все эти теме действительно заслуживают обсуждения, т.к. они очень здорово могут помочь вам в ежедневном обеспечении безопасности вашей сети.
В своей предыдущей статье, посвященной совместимости, я упоминал, что вся проблема с совместимостью появляется из-за того, что непонятно, что именно необходимо сделать. Поэтому, если вы не совсем понимаете проблему совместимости, то в целом дела не намного лучше обстоят и с аудитом. Вы хотите точно знать, что вы делаете то, что необходимо сделать. К счастью, аудит, предписываемый юридическими актами, как SOX и HIPAA не сильно отличаются от основных тестов на уязвимость, которые я предлагаю выполнить своим клиентам. Помня все это, мы знаем, что традиционные методики тестирования безопасности по-прежнему работают. Вам необходимо всего лишь приспособить их для вашей конкретной среды.
Давайте, к примеру, возьмет SOX аудит.
В действительности, это достаточно сложно получить набор руководств, если вы не можете использовать их в вашей среде. Нет ничего хуже, чем услышать много пустых слов, когда все что вы хотите услышать, как применить это для вашей сети. Это очень правильное отношение. Итак, на этой ноте, я покажу вам тестовый сценарий, в котором будет показано несколько шагов, которые можно использовать в SOX аудите. Четкая и понятная информация – самая предпочтительная информация в мире компьютерной безопасности.
Итак, представьте, что вы глава компьютерной безопасности в корпоративной сети. Ваш босс приходит к вам и говорит, что он хочет быть уверен, что ваша компания удовлетворяет SOX. Что ваш босс хочет от вас – это игровой план, который покажет ему, как компания выдержит определенный набор тестов. Что в свою очередь означает, что вы должны определиться со стратегией по аудиту (auditing strategy). И тогда на передний план выходят принципы сетевой компьютерной безопасности.
Политики, касающиеся паролей (Password policy)
Первое, что необходимо сделать, это закрепить на бумаге все, что вы планируете сделать. Нет ничего лучше, чем иметь старую добрую копию на бумаге того, что вы собираетесь выполнить. Всегда не самая плохая идея оставлять след на бумаге, т.к. в конце концов, именно нехватка бумажных записей привело к появлению SOX. Что я должен сделать первым – это, возможно, самая скучная и мирская работа из всех. Спроектировать и озвучить политику, касающуюся паролей для вашей сети. А это не так просто, как это звучит. Большинство сотрудников в корпоративной сети используют очень простые пароли для своих учетных записей. Хорошо спроектированная политика, поможет преодолеть это первое препятствие на пути к удовлетворению SOX. После того, как вы утвердите вашу новую политику, касающуюся паролей, и ознакомите с ней ваших сетевых пользователей, убедитесь, что она выполняется. Также важна, как необходимость выбора сложного для взлома пароля, возможность регулярного его изменения. Наиболее проверенное и опробованное решение – это использование PDC или AD сервера, как одного из лучших. На рисунке ниже показаны наилучшие рекомендации от Microsoft на эту тему.
Рисунок 1
Доступ к файлам
Очень важно по возможности облегчить вашу безопасность, или пользователи в вашей сети попытаются обойти ее. Далее будут предложено несколько конкретных шагов, как и обещалось. Одна большая проблема практически для каждой сети, которая к тому же еще и плохо выполняется – общий доступ к файлам. Остальных убедит то, что когда вы подвергаетесь проверке на удовлетворение SOX, аудиторы в первую очередь проверят общий доступ. Работа над тем, кто и к чему имел доступ, может и не быть самой важной работой сотрудника безопасности, но это очень важная работа. Я могу посоветовать вам начать сначала, если вам не нравится то, что вы видите, и проработать полностью новый способ доступа к правительственным файлам. Доступ к файлам может быстро превратиться в неуклюжего зверя, если вы не обладаете жестким контролем над ним, и если он не организован логично. Не забывайте, что существует также набор инструментов, работающих из командной строки, которые вы также можете использовать. Пожалуйста, посмотрите на рисунок ниже.
Рисунок 2
Базы данных
Я уверен, что Вы хорошо можете представить, что в результате почти недельного открытия новой уязвимости в базе данных, аудиторы проверят все ваши базы данных на безопасность и совместимость. Для этого есть очень хорошая причина. Большинство хакеров почти наверняка попытаются взломать вашу базу данных и украсть хранящуюся в ней информацию. Это делает их превосходной большой мишенью и причиной, по которой необходимо усилить безопасность. Здесь вам в действительности понадобятся внешние службы для проверки целостности вашей базы данных. Лучше всего не ограничиваться советами и уверениями ваших сотрудников, т.к. они могли потерять перспективу. Это не значит, что ваши сотрудники некомпетентны. Достаточно просто намозолить глаза и не заметить что-то, что легко заметит новая пара глаз. Я настоятельно рекомендую, чтобы на вашу базу данных взглянул профессионал.
Резюме
В курсе этой статьи мы увидели, что в действительности аудит – это естественное следствие из совместимости. После всего этого, очень важно убедиться, что шаги, которые вы предприняли для того, чтобы удовлетворять совместимости, работают в самом деле. Некоторые вещи, о которых вы спрашиваете, вызывают серьезное беспокойство. В то время, как забота об этих шагах жизненно необходима, вы также должны подумать о проблеме аудита. Хотя это и стоит денег, мысль о том, что состояние вашей сети было проверено профессионалами, добавит вам гораздо больше комфорта. Это также поможет вам, когда придет время проверки на соответствие, скажем SOX или другим законодательным актам.
По моему мнению, вся идея о совместимости и аудите устаканилась в общем смысле. Общий смысл означает, что если вы используете активный подход, когда дело касается компьютерной безопасности. Вы конечно должны соблюдать различные требования законодательства, однако, в действительности, это не так сложно сделать, если вы организованы и используете агрессивный подход к решению проблем. Это включает использование помощи внешних консультантов в процесс. Использование профессиональных служб также поможет сделать вашу организацию более прозрачной. А это одна из ключевых проблем, которая приводит к вовлечению государства в процесс. Я искренне надеюсь, что эта статья была полезна для вас, и как всегда жду ваших отзывов. До новых встреч!
Источник www.windowsecurity.com
Tags: monitoring, pdc